Sichere Alternativen zu Kreditkarten

Wenn es um Online-Bezahlen geht, ist man in der Praxis schnell bei Kreditkarten angekommen. Kein anderes Zahlungsmittel wird weltweit im eCommerce so häufig akzeptiert. Dabei ist die Kreditkarte an sich gar keine so gute Wahl zum Bezahlen, weder für Kunden noch für Händler. Keine andere Bezahlart hat derart mit Betrug zu kämpfen. Dem Nielsen Report(1) zufolge summierte sich der Schaden, der durch verschiedene Betrugsarten rund um Kreditkarten global entsteht 2016 auf 22,8 Milliarden US-Dollar. Bis 2025 wird sogar erwartet, dass die Schadenssumme an der 50 Milliarden Grenze kratzt. Doch Fraud ist nicht der einzige Sicherheitsnachteil, den Kreditkarten gegenüber alternativen Bezahlarten haben.

Der große Vorteil der Kreditkarte ist ihre Beharrlichkeit. Die Plastikkarten sind schon lange auf dem Markt, ihr Durchbruch gelang in den USA schon in den 1950er Jahren; außerdem funktionieren Kreditkarten im richtigen Leben und auch beim Online-Einkauf. Für Kreditkarten-Fans ist dieser Gewohnheitseffekt sicher ein wichtiger Punkt. Speziell im eCommerce zeigt sich aber, dass Kreditkarten nicht das optimale Zahlungsmittel sind. Bei allen Bezahlarten, die sich genau nicht auf die Plastikkarte stützen, spricht man von alternativen ­Zahlarten (Alternative Payment Methods, APM), gerne auch lokalen Zahlarten, da sie je nach Land inzwischen eher die Norm als die Alternative darstellen. APMs sind ein weites Feld und unterscheiden sich stark. Die Auswahl für den Nutzer ist groß. Je mehr ein Online-Händler davon anbietet, desto höher die Chance, dass auch die ­Lieblingsmethode des Kunden dabei ist und dieser ohne Nachzudenken kauft. In die Kategorie APM fallen Echtzeitüberweisungen genauso wie klassische Lastschriften oder moderne E-Wallets wie PayPal; sie alle konkurrieren mit der Kreditkarte. Es gibt mehrere Gründe, warum es so viele APMs gibt, etwa nationale Vorlieben wie iDEAL in den Niederlanden und Lastschrift in Deutschland. Im eCommerce sprechen aber vor allem Sicherheit und Komfort für den Einsatz alternativer Bezahlarten. So sind in vielen Ländern vor allem die schnellen Bezahlarten auf dem Vormarsch, etwa Direktüberweisung oder PayPal. Bei Kreditkartenzahlungen muss man die lange Kreditkartennummer abtippen sowie Ablaufdatum und zusätzliche Sicherheitsmerkmale. Was am Computer noch halbwegs klappt, kann vor allem auf einem kleinen Smartphone-Bildschirm stören. Hier können sich schnell Fehler einschleichen. Alternative Bezahlarten erfordern dagegen höchstens die Eingabe eines Passworts, mobil kann man oft schon ­Fingerabdruck- oder Gesichts­erkennung nutzen, um eine Transaktion abzusegnen oder die Bezahlung erfolgt wirklich per One-Click-Payment, also nur mit einem Fingertipp und damit deutlich komfortabler.

Zu den Klassikern unter den alternativen Zahlarten gehören Rechnung, Vorkasse und Lastschrift. Die Vorkasse ist der Liebling der Händler, die Rechnung der Favorit der Kunden und die Lastschrift eine bewährte Methode dazwischen. Bei der Vorkasse übernehmen die Kunden das volle Risiko und gehen in Vorleistung. Händler warten auf den Zahlungseingang und legen erst dann los. Das ist zwar sicher für den Händler, schafft in der Praxis aber das Problem, dass die Ware nur langsam zum Kunden kommt. Viele Kunden sind heute nicht mehr bereit, mehrere Tage Wartezeit für eine Online-Bestellung in Kauf zu nehmen. Beim Rechnungskauf geht dagegen der Händler in Vorleistung. Das Problem ist hier eine durchschnittlich schlechtere Zahlungs­moral der Kunden, die entweder nur verzögert bezahlen, die Rechnung einfach vergessen oder bewusst den fälligen Betrag zurückhalten. Hier ist das Betrugsrisiko ungleich höher. Die Lastschrift ist zwar eine etablierte Zahlungsart, hat aber für beide Seiten Nachteile: Kunden müssen ihre Kontodaten einem Händler anvertrauen, und die Händler müssen mit dem Risiko ­einer Rücklastschrift leben.

Sie heißen Giropay, iDEAL oder EPS und arbeiten alle ähnlich. Die sogenannten ­Direktüberweisungen lotsen Kunden von der Bezahlseite im Online-Shop zur Online-Banking-Seite der Hausbank. Dort kann der Kunde dann direkt die Rechnung per ­Online-Überweisung bezahlen. Bankunabhängige Dienste wie Sofort, Trustly oder Instant Transfer erledigen den Zahlvorgang sogar meist im Hintergrund, ohne viele Clicks. In beiden Fällen benutzt der Kunde einfach seine Online-Banking Zugangs­daten, muss sich nicht extra anmelden oder registrieren und sich kein zusätzliches Passwort merken. Das Eintippen von Kreditkartennummern entfällt und der Händler muss sich nicht um die Verwaltung von Bezahldaten kümmern. Die Direktüberweisungen zeigen außerdem die Vorteile der sogenannten Push-Payments für Händler, bei denen der Kunde die Zahlung auslöst. Man kann die Direktüberweisungen nicht rückgängig machen, weil es sich dabei um gewöhnliche Überweisungen handelt, die per Gesetz Zahlungsaufträge sind. Der Händler kriegt meist auch gleich eine Zahlungsgarantie, auch wenn das Geld nicht sofort auf seinem Konto eingeht. Vorteil für den Kunden: Händler können die Bestellungen sofort ­bearbeiten und die Ware schnell versenden. Weiterer Vorteil: Da es immer mehr Kunden gibt, die Online-Banking machen, können auch immer mehr Kunden Direktüberweisungen als Zahlungsmittel nutzen.

E-Wallets ist nur ein Sammelbegriff für viele moderne Zahlungsmittel, darunter bekanntere Namen wie PayPal oder Alipay. Viele Nutzer werden zumindest ein PayPal-Konto haben, das wiederum mit einem normalen Konto oder einer Kreditkarte im Hintergrund verknüpft ist. Vorteil beim Internet-Shopping: Die ­E-Wallets sind sehr einfach zu nutzen, Benutzername und Passwort eingeben, bestätigen und fertig ist die Transaktion. Sie sind in der Regel überall nutzbar – am Computer, aber auch mobil auf Smartphones oder Tablets. Händler haben aber das Problem, dass Kunden grundsätzlich versuchen können, die Zahlung rückgängig zu machen. Dabei ist es erstmal egal, ob hinter der PayPal-Zahlung letztendlich eine Kreditkartenzahlung steckt oder nicht. Der Grund: Hier schalten sich die Dienstleister, in dem Falle PayPal, selbst ein und versuchen die Situation zwischen Händler und Kunde zu klären. Dabei gibt es je nach Dienstleister auch spezielle Leistungen, etwa Kundenschutz bei PayPal. In der Regel gibt es bei E-Wallet-Anbietern eine Zahlungsgarantie, was es Händlern einfach macht, Bestellungen schnell zu bearbeiten. Vorteil auch für Kunden: Die Zahlungsdaten kennen nur PayPal & Co., Händler kriegen diese nicht zu sehen.

Kreditkarten sind anfällig für verschiedene Betrugsarten, weil man zur Bezahlung in vielen Fällen einfach nur Name und Kreditkartennummer braucht. Häufig anzutreffen ist deshalb Identitätsmissbrauch. Dabei haben es Betrüger auf persönliche Informationen wie Namen, Adresse, Mail-Adresse und Kreditkartendaten abgesehen. Die werden per Phishing besorgt, etwa über betrügerische Webseiten, E-Mails oder Kurznachrichten. Damit können Betrüger dann unter falschem Namen Waren im Internet bestellen und mit fremden Kreditkarten­daten zahlen. Oft reicht für den Identitätsmissbrauch auch ein gestohlenes Passwort bei einem Online-Shop aus, um dann ein bestehendes Konto zu übernehmen. Die Kreditkartendaten sind dort in der Regel schon hinterlegt. Bei Kreditkarten-Sicherheit muss man auch Hacker-Angriffe auf eCommerce-Anbieter und das Entwenden von Kundendaten nennen. Sichert der ­Anbieter die Kreditkartendaten nicht ­verschlüsselt, haben Datendiebe leichtes Spiel. Auch im echten Leben lauern zahlreiche Gefahren auf Kreditkartennutzer. So gibt es immer wieder Fälle, bei denen per Post verschickte Kreditkarten gezielt abgefangen werden. Kreditkartendaten lassen sich außerdem in Restaurants, Hotels oder an manipulierten Geldautomaten kopieren.

Online-Händler kämpfen bei Kreditkarten aber auch mit weniger kriminellen Betrugsversuchen. Beliebt ist beispielsweise der sogenannte Friendly Fraud, bei dem Kunden einfach die Schwäche des Systems ausnützen. Der hört sich freundlicher an, als er in Wirklichkeit ist. Dabei geht es darum, dass Kunden eine Transaktion auslösen und ­Waren bestellen oder Dienstleistungen mit Kreditkarte bezahlen. Dann wird absichtlich ein Chargeback ausgelöst und behauptet, es handele sich um missbräuchlichen Einsatz der Kreditkartendaten. Diese Betrugs­masche ist vor allem bei Dienstleistungen ein großes Thema, etwa im Gambling- oder Adult-Bereich, aber auch im Reiseverkehr, wo man damit nicht-umtauschbare Billig­tickets wieder los wird. Auch das Re-Shipping ist eine lästige Betrugsmethode bei Kreditkarten. Dabei kaufen Betrüger mit gestohlenen Bezahldaten ein, lassen aber die bestellten Waren nicht zu sich nach ­Hause liefern. Stattdessen werden Mittelsmänner eingesetzt, auf deren Namen die Waren bestellt werden und die dann die ­Bestellungen weiterversenden.

Alternative Bezahlarten haben den Vorteil, dass sensible Daten gar nicht erst beim Händler landen. Beispiel Direktüberweisung: Dort werden dem Kunden die Händlerdaten angezeigt und nicht umgekehrt, und man genehmigt die Zahlung durch Eingabe einer gültigen TAN. Konto- oder Kreditkartendaten kriegt der Händler in dem Fall nicht zu sehen, die Zahlungs­abwicklung erfolgt über die Hausbank. Zwar sind auch Passwörter für Online-Banking-Zugänge ein begehrtes Ziel von Datendieben, jede Transaktion ist aber mit einem TAN-Verfahren geschützt. Das Zugangs-Passwort alleine hilft einem Angreifer nicht weiter. Alternative Bezahlarten haben deswegen ein wesentlich geringeres Betrugsrisiko als Kreditkarten und eCommere-Händler setzen dabei besonders gern auf APMs mit Zahlungsgarantie, denn so minimieren sie zudem noch das Risiko ­eines Zahlungsausfalls. Kreditkarten können das nicht bieten. Als Grundregel gilt: Die Push-Payments, bei denen Kunden die Zahlung auslösen, sind immer händlerfreundlicher als Pull-Payments, bei denen sich die Händler das Geld von den Kunden holen müssen.

Das sogenannte Chargeback-Risiko, also das Rückgängig-Machen der Zahlung, ist bei Kreditkarten ein großes Thema. Für Händler gibt es dabei viele unerwünschte Seiteneffekte. So verursachen Rückläufer in der Regel hohen Administrationsaufwand. Außerdem beobachten Kreditkartengesellschaften die Chargeback-Rate genau. Kassiert ein Händler zu viele Chargebacks, werden mitunter Strafgebühren fällig. Beim Überschreiten bestimmter Chargeback-Grenzwerte kann es sogar dazu führen, dass man als Händler auf einer Blacklist landet und dann für einen bestimmten Zeitraum überhaupt keine Kreditkartenzahlungen mehr entgegennehmen darf.

Betrugsprävention durch Künstliche Intelligenz

Doch auch bei Kreditkarten gibt es Mittel und Wege zur Betrugsprävention. Händler sollten mehr Abfragen, als nur Name, Kartennummer und CVC-Code. Bei Kreditkarten vermeidet man Chargeback-Betrug recht einfach durch den Einbau von weiter­führenden Sicherheitsfunktionen wie 3D Secure. Nach Angaben des Stu­dio Online-Payment 2018 des EHI Retail Institute zufolge ­sichern mittlerweile 82 Prozent der Händler Kreditkartenzahlungen mittels 3D-Secure-Verfahren ab. Allerdings erhöht dies das ­Risiko eines Zahlungsabbruches enorm. Neue Methoden zur Be­trugs­prävention kommen aus dem Bereich der Künstlichen Intelligenz, hauptsächlich aus der Disziplin Machine Learning. Dabei geht es um die Berechnung eines Risk-Scores, der sich aus vielen Faktoren zusammensetzt, etwa aus verwendeter IP-Adresse, Zeitzone, Warenkorb, Kaufbetrag und mehr. In Sekundenbruchteilen kann so bewertet werden, ob eine Transaktion wahrscheinlich betrügerisch ist oder nicht.

Nutzer können selbst einige Vorkehrungen treffen, um sicherer mit Kreditkarte einzukaufen. Das größte Problem beim Bezahlen per Kreditkarte ist, dass man dabei sensible Bezahldaten aus der Hand geben muss. Sprich der Kunde muss dem Händler seine Kreditkartendaten anvertrauen und darauf hoffen, dass dieser sie mit der nötigen Sorgfalt behandelt. Wer häufig beim gleichen Händler kauft, minimiert also sein Risiko. Auch die Nutzung der alternativen Zahlarten kann ein solches Risiko minimieren. Sie bieten eine sinnvolle und sichereAl­ternative, um nicht zur Kreditkarte greifen zu müssen. Sie werden immer stärker zur Norm, wenn es um Online-Handel geht und vereinfachen das Shoppingerlebnis sowohl für den Nutzer als auch für den Händler.